Баг в CLFS превращает простых пользователей Windows в администраторов

В операционной системе Windows 11 обнаружена критическая уязвимость в драйвере Common Log File System ( CLFS ), позволяющая локальным пользователям повышать свои привилегии. CLFS отвечает за эффективное ведение системных и прикладных журналов для отслеживания событий и восстановления после ошибок.

Уязвимость выявлена в функции CClfsBaseFilePersisted::WriteMetadataBlock и связана с неотслеживаемым значением возврата ClfsDecodeBlock. Этот сбой может вызвать повреждение данных внутри структуры CLFS и открыть путь для повышения привилегий.

Атака также позволяет злоумышленникам узнать адрес ядра в пуле памяти, что помогает обходить будущие меры защиты, запланированные для версии Windows 11 24H2. Однако на мероприятии TyphoonPWN 2024, где и был представлен proof-of-concept ( PoC ), этот аспект использован не был, так как тестирование проводилось на версии 23H2.

Уязвимость эксплуатирует манипуляции со структурой логов CLFS. В ходе атаки создаётся лог-файл, модифицируются его данные и нарушаются ключевые структуры системы, что позволяет захватить управление на уровне ядра. Отсутствие защиты Supervisor Mode Access Prevention (SMAP) в Windows упрощает злоумышленникам работу с памятью ядра, позволяя менять токены процессов для повышения привилегий.

Пример использования уязвимости, продемонстрированный на TyphoonPWN 2024, показал запуск командной строки с правами SYSTEM, что подтверждает высокий уровень угрозы.

Исследователь, обнаруживший проблему в рамках соревнования, занял первое место. Хотя Microsoft сообщила, что данная уязвимость является дубликатом и уже исправлена, тесты на последней версии Windows 11 показали, что проблема остаётся нерешённой. CVE-идентификатор или информация о патче пока не опубликованы.

Эксперты по кибербезопасности рекомендуют системным администраторам следить за обновлениями от Microsoft и оперативно устанавливать патчи, как только они станут доступны.